[English]Ich hole das Thema nochmals aus der Versenkung und frage mal rund. Zeigt bei euch der Microsoft Defender definierte Scan-Ausschlüsse unter Windows 10 an? Oder ist der von mir schon mal hier im Blog thematisierte GUI-Bug auch nach Defender-Updates weiterhin vorhanden?
Anzeige
Worum geht es beim Defender GUI-Bug?
Der Microsoft Defender besitzt seit einem Update der Engine auf die Antimalware-Clientversion 4.18.2010.4 einen Anzeige-Bug in Bezug auf die von Anwendern definierten Ausschlüsse. Nutzer stellen plötzlich fest, dass definierte Ausschlüsse nicht mehr in der GUI angezeigt werden und es können auch keine neuen Ausschlüsse definiert werden. Die PowerShell zeigt aber, dass die Ausschlüsse noch vorhanden sind.
Ich wurde durch eine Anfrage eines Lesers an die heise-Redaktion, die dann bei mir auf dem Tisch landete, auf den Sachverhalt aufmerksam. Aber auch bei deskmodder.de sowie im Microsoft Answers-Forum finden sich Nutzerklagen bezüglich dieses Verhaltens. Ich hatte das Ganze dann im Blog-Beitrag Windows 10: Vergisst der Defender definierte Ausschlüsse? dedizierter aufbereitet.
Unterschiedliche Rückmeldungen
Im Kommentar hier gibt Blog-Leser Tom bezüglich des GUI-Anzeigefehlers dann zum 28. Oktober 2020 Entwarnung und schreibt:
Mit der heutigen Aktualisierung auf Version 4.18.2010.6 sind auch die Ausschlüsse wieder sichtbar geworden!
Also doch nur ein "Bug as a service"…
Ich hatte daher das Thema für mich abgehakt. Aber Blog-Leser René S. meldete sich zum 2.11.2020 bei mir per E-Mail. Er hatte das Ganze bei heise angestoßen und ich hatte ihn bei neuen Erkenntnissen um Rückmeldung gebeten. René schilderte seine Erfahrungen so:
Anzeige
heute erhielt ich im Hostsystem (Build 19042.610) und in der VM (20246.1) wieder ein Update des Defenders auf die Antimalware-Clientversion: 4.18.2010.7.
Das Problem ist damit bei mir weiterhin vorhanden bzw. im Hostsystem werden mir in der GUI keine zuvor definierten Ausschlüsse angezeigt und es lassen sich über die GUI keine zusätzlichen Ausschlüsse anlegen.
Jedoch sind die zuvor angelegten Ausschlüsse über die PowerShell (Get-MpPreference) ersichtlich. In der VM, in der ich keine Ausschlüsse eingerichtet habe, steht auch in der GUI auch „Keine vorhanden Ausschlüsse", jedoch kann man keine Ausschlüsse anlegen.
Beim erstmaligen Versuch und Auswahl z.B. einer Datei oder Ordners erschien einmalig die Benutzerkontensteuerung, zur Bestätigung des Vorgangs, jedoch war danach der Ausschluss in der GUI nicht ersichtlich.
Bei weiteren Versuchen, also ab dem 2. Versucht, kam keine Abfrage der Benutzerkontensteuerung aber es wurde in der GUI optisch kein Ausschluss angezeigt. Jedoch sind diese Ausschlüsse, die ich über die GUI testweise anlegen wollte, über die PowerShell ersichtlich, obwohl die GUI noch immer „Keine vorhanden Ausschlüsse" anzeigte.
Aktuell gibt es diesen Kommentar von Info, der berichtet, dass die Ausschlüsse angezeigt werden. Es deutet sich an, dass nicht alle Defender-Nutzer betroffen sind, sondern nur manche. Von René weiß ich, dass er eine Antimalware-Clientversion auf seiner Maschine erhalten hat, die bei ihm nicht hätte installiert werden dürfen (er nimmt an keinem Developer-Programm teil, die fehlerhafte Antimalware-Clientversion war aber für Entwickler vorgesehen). Irgend etwas ist schief gelaufen und einige Leute haben wohl einen Bug per Update auf ihre Systeme installiert bekommen. Daher die Frage an die Nutzer, die von der GUI-Anzeigeproblematik betroffen waren: Hat sich hier durch ein Update der Antimalware-Clientversion etwas bezüglich des Problems getan?
So wurde es gefixt
Ergänzung: Der Blog-Leser hat mir im Nachgang noch seine Schritte verraten, wie er das Problem beheben konnte. Die Vorgangsweise des Lesers sah dabei wie folgt aus:
- Installation von KB4586853, womit Windows auf die Build 19042.661 gehoben wurde
- Inplace Upgrade Reparatur mit einer ISO von Windows 10, welches die Build 19042.630 hat
Der Leser schreibt, dass nach dem Update mit der ISO und anschließenden Neustart das Problem mit den 'fehlenden' Ausschlüssen behoben worden sei und weg ist. Er kann nun über die GUI vom Windows Defender Ausschlüsse anlegen und entfernen und sieht auch alle Ausschlüsse die er im Blindflug über die GUI, als es nicht funktionierte, angelegt hatte.
Anzeige
Auf dem PC der, warum auch immer, die fehlerhafte Version 4.18.2010.4 erhalten hatte, funktioniert die Anzeige der Ausschlüsse im GUI auch mit der, bereits am 03.11. erhaltenen, Version 4.18.2010.7 nach wie vor nicht.
Auf alle anderen PCs die heute die Version 4.18.2010.7 über Windows Update erhalten haben, funktioniert die Anzeige dagegen wie bisher.
Somit scheint die Version 4.18.2010.4 wohl leider etwas beschädigt zu haben…
Also aus meiner Sicht scheint es sich um ein Problem mit den Rechten zu handeln, da die Ausschlüsse, eben getestet in der VW (20246.1), alle ersichtlich sind, wenn ich mich als Administrator anmelde.
Werde aber gleich noch etwas weiter in der Regestry in den dortigen Rechten der User versuchen.
Ob wann es glaubt oder nicht, ich habe vorhin in ner VM, die Build 20246.1 hatte, per ISO das Update auf die Build 20251.1 gemacht und siehe da, alle zuvor dort blind angelegten Ausschlüsse sind ersichtlich. :o
Das Einzige was sich dabei für mich optisch geändert hat, ist dass zuvor unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\MpEngine" die folgenden Einträge hatte:
"MpCampGradualRelease"=dword:00000001
"MpCampRing"=dword:00000003
"MpEngineRing"=dword:00000003
"MpGradualEngineRelease"=dword:00000001
Jetzt, nach dem Upgrade sind dort nur noch die folgenden Einträge da:
"MpCampGradualRelease"=dword:00000001
"MpCampRing"=dword:00000003
"MpEngineRing"=dword:00000003
Windows 10 Pro 1909 18363.1198 (für 365 Tage keine Feature Updates)
Antimalware Client Version: 4.18.2011.5
Engine Version: 1.1.17600.5
Antivirus Version: 1.327.1197.0
Antispyware Version: 1.327.1197.0
In der GUI sind die definierten Ausschlüsse nicht sichtbar.
Unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] sind die definierten Ausschlüsse sichtbar.
Die Lösung, die bei meinem Windows 10 1909 funktioniert hat, wird hier beschrieben:
https://www.reddit.com/r/Windows10/comments/jgwcv6/bug_windows_defender_exclusions_empty_list/
Gemacht habe ich folgendes:
1. Rechtsklick auf [Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions]
2. Klick auf "Permissions…" um das Fenster "Permissions for Exclusions" zu öffnen
3. Klick auf "Advanced"
4. Klick auf "Change" bei "Owner"
5. meinen Benutzernamen als Besitzer eintragen
6. Klick auf "Check Names" -> mein Benutzername wird unterstrichen
7. Klick auf "Ok"
8. Haken setzen bei beiden "Replace"-Box (ob die untere Box erforderlich ist übersteigt meine Windows Kenntnisse)
9. Klick auf "Ok"
10. Klick auf "Add"
11. "Everyone" eintragen
12. Klick auf "Check Names" -> "Everyone" wird unterstrichen
13. Klick auf "Ok"
14. Hacken setzen bei "Allow" für "Read" für "Permissions for Everyone"
15. Klick auf "Ok"
16. Jetzt die Schritte 2. bis 9. für den ursprünglichen Besitzer von Schritt 1. wiederholen, d.h. "System" wieder als "Owner" eintragen
17. Klick auf "Ok" um das Fenster "Permissions for Exclusions" zu schließen
Danke, Peter.
Die Berechtigungseinstellungen zurück auf "System" hat's bei mir auch gebracht.
(Wer die Verstellung verursacht hat, ist unklar.)